Kumaha spesialis kaamanan IT anu saé béda ti anu biasa? Henteu, sanés ku kanyataan yén iraha waé anjeunna tiasa ngémutan tina mémori jumlah pesen anu dikirim ku manajer Igor kamari ka batur sapagawean na Maria. A spesialis kaamanan alus nyobian pikeun ngaidentipikasi mungkin palanggaran sateuacanna sarta nyekel aranjeunna sacara real waktu, nyieun unggal usaha pikeun mastikeun yén kajadian teu nuluykeun. Sistem manajemén acara Kaamanan (SIEM, ti Inpormasi Kaamanan sareng manajemén acara) nyederhanakeun tugas gancang ngarékam sareng ngahalangan sagala usaha pelanggaran.
Sacara tradisional, sistem SIEM ngagabungkeun sistem manajemén kaamanan inpormasi sareng sistem manajemén acara kaamanan. Fitur penting tina sistem nyaéta analisa kajadian kaamanan sacara real waktos, anu ngamungkinkeun anjeun ngabalesana sateuacan aya karusakan.
Tugas utama sistem SIEM:
- Ngumpulkeun data jeung normalisasi
- Korélasi Data
- Waspada
- panels visualisasi
- Organisasi panyimpen data
- Pilarian Data jeung Analisis
- Ngalaporkeun
Alesan pikeun paménta tinggi pikeun sistem SIEM
Anyar-anyar ieu, pajeulitna sareng koordinasi serangan dina sistem inpormasi parantos ningkat pisan. Dina waktos anu sami, kompleks alat kaamanan inpormasi anu dianggo ogé janten langkung kompleks-jaringan sareng sistem deteksi intrusi dumasar host, sistem DLP, sistem anti-virus sareng firewall, scanner kerentanan, jsb. Unggal alat kaamanan ngahasilkeun aliran acara kalawan tingkat detil rupa-rupa, sarta mindeng serangan ngan bisa ditempo ku acara tumpang tindihna ti sistem béda.
Aya seueur ngeunaan sagala jinis sistem SIEM komérsial , tapi kami nawiskeun tinjauan ringkes bébas, full-fledged open source sistem SIEM nu teu boga larangan jieunan dina jumlah pamaké atawa volume katampa data disimpen, sarta ogé gampang scalable tur didukung. Kami ngarepkeun ieu bakal ngabantosan ngira-ngira poténsi sistem sapertos kitu sareng mutuskeun naha solusi sapertos kitu patut diintegrasikeun kana prosés bisnis perusahaan.
AlienVault OSSIM
AlienVault OSSIM mangrupikeun vérsi open-source tina AlienVault USM, salah sahiji sistem SIEM komérsial terkemuka. OSSIM mangrupikeun kerangka anu diwangun ku sababaraha proyék open source, kalebet sistem deteksi intrusi jaringan Snort, jaringan Nagios sareng sistem ngawaskeun host, sistem deteksi intrusi basis host OSSEC, sareng scanner kerentanan OpenVAS.
Pikeun ngawas alat, Agen AlienVault dianggo, anu ngirim log ti host dina format syslog ka platform GELF, atanapi plugin tiasa dianggo pikeun integrasi sareng jasa pihak katilu, sapertos jasa proxy sabalikna situs Cloudflare atanapi Okta multi. -sistem auténtikasi faktor.
Versi USM béda ti OSSIM kalayan fungsionalitas anu ditingkatkeun pikeun manajemén log, ngawaskeun infrastruktur awan, otomatisasi, sareng inpormasi ancaman sareng visualisasi anu diropéa.
kaunggulan
- Diwangun dina proyék open-source anu kabuktian;
- Komunitas ageung pangguna sareng pamekar.
shortcomings
- Henteu ngadukung ngawaskeun platform awan (contona, AWS atanapi Azure);
- Henteu aya manajemén log, visualisasi, otomatisasi atanapi integrasi sareng jasa pihak katilu.
MozDef (Platform Pertahanan Mozilla)
Sistem MozDef SIEM dikembangkeun ku Mozilla dipaké pikeun ngajadikeun otomatis prosés pangolahan insiden kaamanan. Sistim nu dirancang ti taneuh nepi ka ngahontal kinerja maksimum, scalability sarta kasabaran sesar, kalawan arsitektur microservice - unggal jasa dijalankeun dina wadah Docker.
Sapertos OSSIM, MozDef diwangun dina proyék open source anu diuji waktos, kalebet indexing log Elasticsearch sareng modul milarian, platform Meteor pikeun ngawangun antarmuka wéb anu fleksibel, sareng plugin Kibana pikeun visualisasi sareng plot.
Korelasi acara sareng ngageterkeun dilaksanakeun nganggo patarosan Elasticsearch, anu ngamungkinkeun anjeun nyerat pamrosésan acara anjeun sareng aturan ngageter nganggo Python. Numutkeun Mozilla, MozDef tiasa ngolah langkung ti 300 juta acara per dinten. MozDef ngan ukur nampi acara dina format JSON, tapi aya integrasi sareng jasa pihak katilu.
kaunggulan
- Henteu nganggo agén - dianggo sareng log JSON standar;
- Gampang skala berkat arsitéktur microservice;
- Ngarojong sumber data jasa awan kaasup AWS CloudTrail jeung GuardDuty.
shortcomings
- Sistim anyar jeung kirang ngadegkeun.
Wazuh
Wazuh mimiti ngembangkeun salaku garpu OSSEC, salah sahiji SIEM open source anu pang populerna. Sareng ayeuna éta mangrupikeun solusi anu unik kalayan fungsionalitas énggal, perbaikan bug sareng arsitéktur anu dioptimalkeun.
Sistem ieu diwangun dina tumpukan ElasticStack (Elasticsearch, Logstash, Kibana) sareng ngadukung pendataan dumasar-agén sareng asupan log sistem. Hal ieu ngajadikeun eta éféktif pikeun ngawas alat nu ngahasilkeun log tapi teu ngarojong instalasi agén - alat jaringan, printer jeung périferal.
Wazuh ngadukung agén-agén OSSEC anu tos aya sareng masihan pituduh ngeunaan migrasi ti OSSEC ka Wazuh. Sanajan OSSEC masih aktip dirojong, Wazuh ditempo salaku tuluyan tina OSSEC alatan ditambahan panganteur web anyar, REST API, susunan leuwih lengkep aturan, sarta loba perbaikan séjén.
kaunggulan
- Dumasar sareng cocog sareng SIEM OSSEC populér;
- Ngarojong sababaraha pilihan pamasangan: Docker, Wayang, Chef, Ansible;
- Ngarojong ngawaskeun jasa awan, kalebet AWS sareng Azure;
- Ngawengku susunan komprehensif aturan pikeun ngadeteksi sababaraha jenis serangan sarta ngidinan Anjeun pikeun ngabandingkeun éta luyu jeung PCI DSS v3.1 na CIS.
- Integrasi sareng sistem panyimpenan log Splunk sareng sistem analisa pikeun visualisasi acara sareng dukungan API.
shortcomings
- arsitéktur kompléks - merlukeun deployment tumpukan elastis pinuh salian Wazuh komponén backend.
Prelude OS
Prelude OSS mangrupikeun vérsi open-source tina komérsial Prelude SIEM, dikembangkeun ku perusahaan Perancis CS. Solusina nyaéta sistem SIEM modular anu fleksibel anu ngadukung sababaraha format log, integrasi sareng alat pihak katilu sapertos OSSEC, Snort sareng sistem deteksi jaringan Suricata.
Unggal kajadian dinormalisasi kana pesen nganggo format IDMEF, anu nyederhanakeun pertukaran data sareng sistem anu sanés. Tapi aya laleur dina salep - Prelude OSS pohara kawates dina kinerja sarta fungsionalitas dibandingkeun versi komérsial Prelude SIEM, sarta dimaksudkeun leuwih pikeun proyék-proyék leutik atawa pikeun diajar solusi SIEM sarta evaluating Prelude SIEM.
kaunggulan
- Sistim Time-dites, dimekarkeun saprak 1998;
- Ngarojong seueur format log anu béda;
- Normalizes data kana format IMDEF, sahingga gampang pikeun mindahkeun data ka sistem kaamanan séjén.
shortcomings
- Nyata kawates dina fungsionalitas jeung kinerja dibandingkeun sistem open-source séjén SIEM.
sagan
Sagan mangrupikeun SIEM berprestasi tinggi anu nekenkeun kasaluyuan sareng Snort. Salian ngadukung aturan anu ditulis pikeun Snort, Sagan tiasa nyerat kana database Snort sareng tiasa dianggo sareng antarmuka Shuil. Intina, éta mangrupikeun solusi multi-threaded anu ringan anu nawiskeun fitur-fitur énggal bari tetep ramah ka pangguna Snort.
kaunggulan
- Sapinuhna cocog sareng database Snort, aturan, jeung panganteur pamaké;
- arsitéktur multi-threaded nyadiakeun kinerja tinggi.
shortcomings
- Proyék anu kawilang ngora kalayan komunitas leutik;
- A prosés instalasi kompléks nu ngalibatkeun ngawangun sakabéh SIEM tina sumber.
kacindekan
Masing-masing sistem SIEM anu dijelaskeun gaduh ciri sareng watesan sorangan, janten aranjeunna henteu tiasa disebat solusi universal pikeun organisasi naon waé. Tapi, solusi ieu open source, ngamungkinkeun aranjeunna disebarkeun, diuji, sareng dievaluasi tanpa ngaluarkeun biaya anu ageung.
Naon deui anu pikaresepeun anu anjeun tiasa baca dina blog?
→
→
→
→
→
Ngalanggan kami -kanal supados anjeun henteu sono kana tulisan salajengna! Kami nyerat henteu langkung ti dua kali saminggu sareng ngan ukur dina bisnis.
sumber: www.habr.com